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(54) Title: DEVICE FOR ANALYSING A DATA PROCESSING TRANSACTION 
(54) Titre: DISPOSITIF IX ANALYSE I^UNE TRANSACTION INFORMATIQUE 
(57) Abstract 

A device (4) for analysing a data processing transaction or part thereof re- 
ceives input signals containing the data supplied by a user requesting the per- 
formance of the transaction and outputs control signals to decision means (3) 
which determine whether or not permission should be granted to the user to pro- 
ceed with the trasaction or to modify the performance of that transaction or of 
subsequent transactions. The device comprises: extracting means (5), for retain- 
ing, from the input data, only those data useful for the analysis of the transac- 
tion; deletion means (6), for eliminating the signals corresponding to a transac- 
tion deemed to comply with a set of predetermined rules, so as not to proceed 
with the analysis for transactions of this type, filtering means (7), for eliminating 
non-significant variations of the transaction to be analysed, depending on the 
statistical characteristics of the signals supplied by the deleting means; classify- 
ing means (8) for allocating the signals of the transaction to be analysed output 
from the filtering means (7) to one or more classes of at least one set of classes, 
each set corresponding to a predetermined classification criterion, said classify- 2 
ing means outputting control signals for the decision means. Ji 




$57) Abrege L'invention concerne un dispositif (4) d'analyse d'une transaction inf ormatique ou partie de transaction, 
dans lequel le dispositif recoit en entree des signaux comprenant Ies informations delivrees par un utilisateur demandant 
1'execution de la transaction ainsi que des informations de contexte representatives des conditions de deroulement de la 
transaction, et delrvre en sortie des signaux de commande a des moyens de decision (3) determinant s'flya lieu ou non de 
delivrer une autorisation a rutilisateur lui permertant de poursuivre ia transaction ou de modifier le deroulement de certe 
transaction ou de transactions ulterieures. Selon l'invention, ce dispositif est caracterise par des moyens extracteurs (5), 
pour ne conserver, parmi les informations recues en entree, que celles utiles a I'analyse de la transaction, des moyens sup- 
presseurs (6), pour eliminer les signaux correspondant a une transaction consideree comme conforme a un ensemble de re- 
gies predeterminees, de maniere a ne pas poursuivre I'analyse pour les transactions de ce type, des moyens de filtrage (7), 
pour eliminer, en fonction des caracteristiques statistJques des signaux delivres par les moyens suppresseurs, ies variations 
non significatives de la transaction a analyser, des moyens de classement (8X pour repartir les signaux de la transaction a 
analyser en sortie des moyens de filtrage (7) dans une ou plusieurs classes d'au moins un ensemble de classes, cbaque en- 
semble correspondant a un critere predetermine de classification, ces moyens de classement delivrant en sortie les signaux 
de commande des moyens de decision. 
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Dispositif d 1 analyse d'une transaction inf ormatigue.. 
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La pr^sente invention concerne un dispositif d'analyse d'une 
transaction informatique ou partie de transaction informatique* 

De faf on g£n£rale, ce dispositif refoit en entree des signaux comprenant 
des informations d61ivr6es par un utilisateur demandant 1'execution de la 
transaction informatique, ainsi que des informations de contexte 
representatives des conditions de deroulement de la transaction. 

En fonction de ces deux types d'informations, le dispositif deiivre en 
sortie des signaux de commande k des moyens de derision determinant 
s'il y a lieu ou non de modifier le deroulement de cette transaction ou de 
15 transactions suivantes, ou meme d'arreter complement ou partiel- 
lement le processus et le service rendu a 1'utilisateur. 

On connait de tels dispositifs d 1 analyse, qui sont utilises dans diverses 
applications telles que le contrdle d'accfcs physique ou logique, ou encore la 
20 deiivrance d'autorisations et de services, de distribution de billets ou de 
services pour des cartes accr6ditives. 

De fapon trfes sch6matique, il s'agit, a partir des informations fournies 
par 1'utilisateur (donn6es personnelles, etc.) et des conditions dans 
lesquelles ces informations sont delivr£es (succession d'essais 
25 infructueux, nombre 61ev£ de transactions sur un intervalle de temps 
reduit, etc.), de determiner si la demande d'execution de la transaction est 
ou non une demande "anormale" — c'est k dire revelatrice d une tentative 
de fraude, d'abus ou de malveillance — et, dans Taffirmative, de prendre 
les decisions qui s'imposent de la maniere la plus appropriee, a savoir 
interdire r execution de la transaction, en modifier le deroulement, 
memoriser V apparition de cette situation et attendre la prochaine 
demande d'ex6cution de transaction pour intervenir, etc. 



30 



Le dispositif selon 1'invention s'applique de fapon gen£rale aux 
35 problemes d'analyse de fraudes ou de tentatives de fraude, par exemple 
lorsque Ton souhaite, k partir d'un nombre d 'informations plus ou moins 
correiees avec le phenomfene k mettre en evidence, isoler un ensemble 
restreint d'operations, declarations ou evenements afin d'ameiiorer la 
detection et la represssion des fraudes. 

40 

La determination du caractfere anormal ou non d'une demande 
d'execution de transaction est determinee par une serie de regies 
predetermines, fondees principalement sur des analyses statistiques. 

Neanmoins, jusqu'i present, ces regies etaient definies de fa9on plus ou 
4& moins empirique, sans fil conducteur, de sorte qu'elles naboutissaient 
pas, dans tous les cas, k une optimalisation de la decision prise. 
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En outre, il est necessaire d'utiliser un nombre 61ev6 de signaux pour 
realiser une bonne discrimination des transactions anormales : dans un 
syst&me expert de traitement de donn6es bancaires d61ivrant des 
automations de paiement, il est ainsi courant d'utiliser jusqu'd. un 
millier de regies, du fait que le nombre d'ev^nements anormaux 
(correspondant a quelques centaines de tentatives de fraudes par mois) est 
extremement faible par rapport au nombre d'6v£nements normaux 
(plusieurs millions de transactions regulieres). 

De la sorte, le "bruit de fond" infonnationnel est considerable et rend 
tres difficile la r£v€lation des demandes de transaction effectivement 
anormales, si ce n'est en prgvoyant une marge de s§curite telle que Ton 
sera amenS k refuser une proportion significative de transactions 
rgguli&res, mais realisees dans des conditions atypiques. 
?J En outre, 1'analyse statistique oblige a memoriser un volume 
^informations considerable : par exemple, dans le cas des cartes 
accreditives, on stocke la totality des transactions effectuees sur une 
periode superieure k une semaine par la totality des porteurs de cartes, 
qui sont couramment de plusieurs milli ons 
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L'un des buts de la presente invention est de pallier ces inconv&rients et 
de d£passer ces limitations, en proposant un dispositif d'analyse 
prSsentant les avantages suivants : 

— diminution du nombre de regies, typiquement dans un rapport de 
cinq k dix par rapport aux systfemes classiques, et ceci sans perte 
sur le r6sultat, c'est k dire sans perte sur la "quality" ou 
"pertinence" de la decision prise, 

— pour chacune des regies, possibility de simplifier la rfegle, toujours 
sans perte sur le resultat, ce qui permet de diminuer aussi bien le 
volume d'informations que le temps de transmission et de 
traitement, 

— optimalisation des regies entre elles, permettant d'aboutir 
directement aux r6sultats optimaux tb6oriques, ce qui reduit au 
minimum thiorique le "taux de fausses alarmes" et le "taux de non- 
detection" , 

— volume d r information a stocker tres inferieur, dans la mesure ou 
Ton ne traitera et conservera que la partie significative de 
1 information, 6vitant done le recours k un stockage de masse de 
donn6es brutes, 

— auto-adaptativite du systeme en fonction de revolution des donnees 
statistiques, 

— trfes grande vitesse d'obtention des signaux de coram ande des 
moyens de decision, en raison de la limitation du volume 
d'informations, comme explique plus haut, cette vitesse 6tant encore 
accrue dans les modes de mise en oeuvre particuliers utilisant des 
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circuits convoluteurs, que Ton decrira plus en detail dans la suite de 
la description. 

5 A cet effet, le dispositif d'analyse de la pr6sente invention est caract&isS 

par : 

— des moyens extracteurs, pour ne conserver, parmi les informations 
refues en entree, que celles utiles k l'analyse de la transaction, 

10 — des moyens suppresseurs, pour dliminer les signaux correspondant 

k une transaction consid6r6e comme conforme k un ensemble de 
r&gles predetermines, de maniere k ne pas poursuivre l'analyse 
pour les transactions de ce type, 

— des moyens de filtrage, pour 61iminer, en fonction des 
25 caracteristiques statistiques des signaux deiivres par les moyens 

suppresseurs, les variations non significatives de la transaction k 
analyser, 

— des moyens de - classement, pour r^partir les signaux de la 
transaction & analyser en sortie des moyens de filtrage dans une ou 

20 plusieurs classes d'au moins un ensemble de classes, chaque 

ensemble correspondant k un critere predetermine de classification, 
ces moyens de classement deiivrant en sortie les signaux de 
commande des moyens de decision. 

25 Selon un certain nombre de caracteristiques avantageuses : 

— le dispositif comprend des moyens d'archivage assurant la 
memorisation des signaux correspondant k des transactions 
anterieures ; 

go — les moyens de filtrage sont des moyens k effet variable, co mman dos 

par des moyens de calcul et de reglage fonctionnant en r6ponse au 
contenu des moyens d'archivage ; 

— les moyens de classement sont des moyens k effet variable, 
commandos par des moyens de calcul et de reglage fonctionnant en 

25 r£ponse au contenu des moyens d'archivage ; 

— les informations transmises aux moyens extracteurs comprennent 
des signaux reprgsentatifs de 1'ecart entre les conditions effectives 
de deroulement de la transaction et les conditions consider6es 
comme normales du deroulement de cette transaction ; 

— le signal repr6sentatif dudit ecart est un signal de distance 
quantifiant 1'ecart plus ou moins grand entre les conditions 
effectives de deroulement de la transaction et les conditions 
considerees comme normales du deroulement de cette transaction ; 

— il est prevu une pluralite de moyens de classement disposes en 
45 parallele, recevant en entree les memes signaux et deiivrant chacun 

en sortie des signaux sperifiques k des moyens combinatoires 
formant interface avec les moyens de decision ; 
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— le dispositif etant install^ au moins partiellement dans un 
equipement d'un systeme distribuE, um equipement du systeme 
repoit des signaux en provenance des dispositifs d'analyse 
d f Equipements voisins, ces signaux, qui comportent au moins un 
signal d'alanne, constituant des signaux d'entrEe du dispositif 
d'analyse de cet equipement. 

A cet Egard, on peut noter que le fractionnement du dispositif entre 
plusieurs points du systeme permet, notamment, de dEcentraliser 
^ les decisions et done de diminuer les couts, les files d'attente, etc. 

— dans ce dernier cas, le signal transmis a chaque Equipement voisin 
est .transmis avec application d'une fonction du temps comportant 
un retard, cette fonction dependant de l'Eloignement de cet 
Equipement par rapport k l'Equipement ayant Emis le signal 
correspondant. les signaux de commande dElivrEs comprennent au 
moins un signal d'alarme transmis aux Equipements voisins du 
systeme distribue, ce signal d'alarme transmis constituant un 
signal d'entree pour les dispositifs d'analyse de ces equipements 
voisins. 
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Le dispositif de la presente invention est susceptible de nombreuses 
applications, parmi lesquelles les plus avantageuses sont, de fapon non 
limitative : 



— le controle dacces physique (locaux proteges, zones sEcurisEes, etc), 

— le controle d'acc&s logique : acces aux bases de donnEes, 
messageries, rEseaux d'information, etc, 

— les transactions bancaires en gEnEral, notamment celles effectuEes 
par les distributeurs automatiques de billets et guichets 
automatiques bancaires, 

— la delivrance d'autorisations de paiement aux utilisateurs de cartes 
accreditives, 

— les modules sEcurisEs : il s'agit d'une variante parti culiere du 
controle d'accEs logique applique aux "boites noires" de chifirement 

^ et dEchiffrement, dans lesquelles un dispositif interne au module 

analyse les signaux d'entree a chiffrer ou dechifirer afin de dEtecter 
si la man fere dont ces signaux sont appliquEs correspond k une 
utilisation normale du module securise ou non, pair exemple 

' lorsqu'un utilisateur non habilite tente de decouvrir la clef de 

chiffrement en envoyant des series particulieres successives de 
signaux ; le dispositif de 1'invention analysera ces signaux 
(messages incoherent^, inattendus, frequences anormales, dElais de 
reponse non confonnes, etc) pour dEtecter une fraude Eventuelle et 
auto-neutraliser le module sEcurise en cas de fraude avErEe. 

45 
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On va maitenant d6crire en detail le dispositif de 1'invention en 
reference aux figures annex6es, puis en donner un exemple d'application 
pratique dans la description d6taU16e qui va suivre. 

5 

Sur les figures : 

— la figure 1 est un schema fonctionnel illustrant le contexte 
d'utilisation du dispositif de 1'invention, 

10 — la figure 2 montre Tensemble des differents blocs fonctionnels 

— la figure 3 illustre les moyens de filtrage, 

— la figure 4 illustre les moyens de classement, et 

— la figure 5 illustre les moyens de mise en forme assurant 
Finterfa?age avec les moyens de decision, 

15 — les figures 6 et 7 illustrent l'application du dispositif de 1'invention k 

la propagation d'alarme dans un systfeme distribu6. 

La figure 1 represente, de fapon schematique, xm systfeme informatique 
1 comprenant des moyens 2 d'acquisition de donn6es relatives k 

20 l'exgcution.d'une transaction, et des moyens de d6cision 3 determinant, 
en fonction des donn6es acquises par les moyens 2, sil y a lieu ou non de 
dSlivrer une autorisation permettant de poursuivre la transaction, de 
modifier le dSroulement de cette transaction, ou de modifier le 
deroulement de transactions ult^rieures. 

25 Le dispositif 4 d'analyse selon linvention repoit en entree les signaux 
d61ivr6s par les moyens d'acquisition 2 et delivre des signaux de 
commande aux moyens de decision 3. 

Les moyens d'acquisition sont de type classique et ne seront pas decrits 
en detail ; ils peuvent comprendre des capteurs, convertisseurs, modems, 

30 lecteurs de support dinformation (cartes magnetiques ou k microcircuit 
par exemple), claviers de saisie de donnees, etc. 

Les moyens de derision 3 servent a exploiter les resultats qui leur sont 
fournis par le dispositif d'analyse 4 de 1'invention, cette decision pouvant 
etre prise de fapon automatique ou humaine (il s'agit alors d'un systfeme 

35 particulier d'aide k la decision) ou encore mixte, c'est k dire automatique 
mais permettant Intervention occasionnelle d'un op6rateur. 

Configuration genirale du dispositif d analyse 

40 La figure 2 represente plus en detail la stucture du dispositif d'analyse 4 

de 1'invention qui comprend, d'amont en aval, des moyens extracteurs 5, 
des moyens suppresseurs 6, des moyens de filtrage 7, des moyens de 
classement 8 et des moyens de mise en forme 9. 
Le role des moyens extracteurs 5 est de collecter et mettre en forme tous 

45 les signaux discriminants dont on peut disposer dans le systeme 
dinformation 1 (on appelera "signal discriminant" tout signal parcipant 
& la prise de decision finale, quelle que soit la part plus ou moins grande 
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pour laquelle il intervient dans cette decision). 

L'un des avantages de la pr^sente invention est de pouvoir utiliser de 
fapon exhaustive tons les signaux discriminants, meme ceux qui ne le 
sont que faiblement alors que, dans les realisations ant6rieures on ne 
conservait g€neralement que les signaux fortement discriminants 
d'en limiter le nombre. 

Les signaux discriminants peuvent etre de natures tres diverses : 



— on peut utiliser, de fapon classique, une information du type "tout ou 
rien", c'est k dire definissant si une relation est v6rifi6e ou non, si 
un seuil fix6 est atteint ou non, s'il y a identity ou non entre une 
information delivree et sa valeur de consigne, etc ; 

IS — on p eu t ^galement, et de fa9on particuliferement avantageuse, 

utiliser au lieu dune telle information binaire im signal mesurant 
I'dcart entre la situation r6elle et une situation "normale", ou lecart 
entre l'information et sa valeur de consigne, etc. La th6orie de 
1'infonnation de Shannon ainsi que les systemes de codes detecteurs 
ou correcteurs d'erreurs de Hamming donnent de nombreux 
exemples de telles mesures de "distance" entre informations, et Ton 
ne decrira pas plus en detail la maniere d'obtenir de telles valeurs, 
technique en elle-meme connue (difference math&natique, nombre 
de bits faux, distance de Hamming, nombre de caractferes faux, 
25 coefficient de correlation, etc.), le choix de la maniere de calculer 

cette distance dependant en fait de l'application pratique et du type 
de signal envisage ; 

— il peut egalement s'agir du nombre d'acces k des ressources (bases 
de donnees, fourniture de produits ou de services, nombre 
d'utilisations d'une machine ou d'un logiriel ou partie de logiciel), 
des mouvements et d6placements dappareils ou de personnes, du 
temps d'attente, ou des anomalies dans 1' execution d'une 
commande ou d'une operation, du temps d'exgcution d'un 
traitement, d'une transmission ou d'un calcul, du temps de 

^ reaction par un op6rateur humain k un signal ou un affichage, etc ; 

— il est Egalement possible d'utiliser, outre les grandeurs prScitees, 
leur proprietes statistiques (moyeime, variance, coefficient de 
correlation, etc) ; 

— souvent, il est egalement utile de connaitre les valeurs 
40 correspondent aux grandeurs precipes pendant les piriodes 

successives qui sSparent deux transactions anormales averees, 
notamment pendant la p6riode ecoul6e depuis la dernifere 
transaction anormale d6tectee. 

45 Ces moyens extracteurs 5 d&ivrent ainsi des signaux a des moyens 

suppresseurs 6 destines a dgfinir, dans le flux des informations en sortie 
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des moyens extracteurs, celles — et seulement celles — que Ton considere 
comme "suspectes", et qu'il s'agira ensuite de filtrer et d'analyser. 
A cet effet, les moyens suppresseurs 6 regoivent en entree, outre les 
5 signaux bruts ddlivrds par les moyens extracteurs 5, des regies 
pr£d6termin6es (mais dventuellement modifiables) indiquant le critfere 
permettant de considdrer qu f un signal en entrde est "suspect" et qu'il 
devra done etre transmis pour analyse ultdrieure aux autres circuits du 
dispositi£ 

10 Le corps de regies contenu dans le circuit 22 peut comprendre des 
franchissements de seuils, des apparitions d'un phdnomene donnd, 
Tutilisation non prdvue de commandes k la disposition de l'utilisateur, le 
ddroulement anormal d'un processus, etc* 
On obtient ainsi, en sortie de ces moyens suppresseurs 6, des signaux 

15 Si, en nombre beaucoup plus rdduit que les signaux bruts qui avaient 6t6 
appliques en entree car Ton a elimine, grace a ces moyens, toutes les 
informations qui, par leur nature, correspondent a des signaux que Ton 
ne cherche pas k classer (qui ne peuvent etre fraudds, par exemple). 
Ces moyens suppresseurs 6 alimentent dgalement en sortie tin fichier 

20 d'archives 10 qui conserve en mdmoire les signaux correspondants aux 
evenements considdrds comme "suspects" — et ces seuls signaux — , k la 
difference des systemes classiques qui ne mgmorisaient que les signaux 
bruts, done tous les signaux, d'ou une limitation rapide du fait du nombre 
considerable de ceux-ci. 

25 On ddsignera par la suite Si(n) les signaux ddlivrds par les moyens 

suppresseurs, n designant la variable utilisde, qui peut etre notamment : 

— le temps (surtout utilise k I'intdrieur d'une operation ou transaction 
informatique donnde), 

30 — le numero d'dtape a l'intdrieur de la transaction, 

— le numero chronologique de l'opdration ou de la transaction, 

— le numdro chronologique de l'dvdnement, 

— le numero chronologique des operations ou traitement qui n'ont pas 
gt£ mends jusqu'& terme, 

25 — ou encore une grandeur liee a une ou plusieurs des grandeurs 

prdeddentes. 

A la variable n, on associera une distribution en frequence f, pouvant 
etre egalement decrite en termes de pulsation co . 

40 Ces signaux Si(n) sontddlivrds k des moyens de filtrage ayant pour 
fonction d m amdliorer le contraste" des signaux Si, e'est k dire d'dliminer, 
en fonction des caracteristiques statistiques des signaux Si(n), les 
variations non significatives de la transaction k analyser ; neanmoins — 
et de fapon caracteristique de la prdsente invention — cette elimination se 

45 fait sans aucune perte sur la qualitd du rdsultat final : en d'autres termes, 
bien que Ton dlimine un certain nombre de signaux, la decision qui sera 
prise en fin de chaine restera optimale, sans aucune augmentation de 
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1'incertitude correspondante. 

Ces moyens de filtrage 7, qui seront d6crits plus en detail ci-dessous en 
reference a la figure 3, dflivrent en sortie des signaux Vk(n) k partir des 
signaux Si(n) delivr^s par les moyens suppresseurs et, gventuellement, de 
signaux Si anterieurs m6moris6s dans le fichier d'archives 10 ; en outre, 
les paramfetres du filtrage de ces moyens de filtrage 7 peuvent etre 
modifies, gventuellement en temps r&el, par des moyens de commande 11 
permettant d'obtenir un r6glage toujours optimal des filtres, notamment 
en fonction des informations archiv£es dans le fichier 10 : le syst&me est 
ainsi rendu auto-adaptati£ 

Les signaux Vk(n) sont ensuite appliques a des moyens de class ement 8 
qui vont op&rer 1'analyse proprement dite en fournissant en sortie des 
signaux Pu representant la probability de Fappartenance de I'Sv^nement 
15 que Ton etudie a chacune de plusieurs classes Au d'6venements, chaque 
classe correspondant a un "scenario" u pr6d6termin§ que Ton souhaite 
detecter. 

En d'autres termes, Pu indique, en termes de probability le caracttre 
plus ou moins suspect d'un comportement de lutilisateur, ce caractere 

^ plus ou moins suspect etant typiquement r6velateur d'une firaude, dun 
abus ou d'une malveillance que Ton souhaite repgrer afin de faire prendre 
au systeme ^information les decisions qui s'imposent. 

Ces moyens de classement 8, qui seront egalement decrits plus en detail 
par la suite en reference a la figure 4, sont de preference, comme les 

25 moyens de filtrage 7, relics k un organe de commande 20 permettant 
d'effeetuer un reglage optimal de filtres utilises, notamment en fonction 
des informations archivees dans le fichier 10, et rendant le systeme auto- 
adaptatit 

Les signaux Pu peuvent etre utilises tels quels pour la prise de decision, 
et done appliques directement aux moyens de decision 3, ou bien ils 
peuvent etre prealablement trait6s par des moyens de mise en forme 9, 
delivrant des signaux trait6s Pu aux moyens de decision 3. 

Ces moyens de mise en forme 9, qui seront egalement ddcrits plus detail 
par la suite en reference k la figure 5, peuvent par exemple transformer la 
35 variable continue Pu en une variable binaire "tout ou rien" au moyen de 
circuits k seuiL 

De meme que les moyens de filtrage 7 et les moyens de classement 8, les 
moyens de mise en forme 9 sont avantageusement commandes par des 
moyens 21 assurant une adaptation permanente des fonctions,* 
eventuellement en temps r6el, notamment en fonction des informations 
archivees dans le fichier 10* 

Moyens de filtrage 

45 Les moyens de filtrage 7 ont 6t6 reprfeent6s plus en detail figure 3. 

Ces moyens de filtrage re?oivent en entree les signaux Si(n) delivres par 
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les moyens suppresseurs 6 et deiivrent en sortie les signaux Vk(n) aux 
moyens de classement 8 ; les signaux Vk(n) sont en nombre inferieur ou 
£gal aux signaux Si(n). 

5 

Si le spectre S*(g>) (dans le domaine des frequences) du signal Si(n) 
(dans le domaine temporel) n'est pas suffisamment plat, il peut etre utile 
de corriger ce spectre, pour chacune des voies Si(n), par un filtre de voie 
correcteur 12. TL en est de meme pour les sorties Vk(n) (filtres de voie 13). 

20 Entre les entries Si(n), eventuellement corrig6es par les filtres 12, et les 
sorties Vk(n), eventuellement corrigSes de la meme fapon par les filtres 
13, on dispose, selon l'invention, une matrice de filtrage formee d'un 
reseau de filtres Fik, cette matrice etant de preference une matrice de 
filtrage de type liniaire, telle qu'une matrice de filtrage de Wiener, de 

25 filtrage de Wiener discret ou de filtrage de Kalman. 

(Pour la simplicite de Fexpose qui va suivre, on considfcrera par la suite 
des variables continues. S'il s'agit, coin me c'est souvent le cas en 
pratique, de signaux discrets ou £chantillonngs, on utilisera les relations 
equivalentes obtenues par exemple k partir de la transformation en Z 

20 bilaterale.) 

Le type de filtrage mentionn6 plus haut a notamment pour propriety de 
tenir compte au mieux des caract6ristiques statistiques des signaux Si(n) 
(notamment Tauto-correiation sur chaque voie Si et les intercorreiations 
entre voies Si et Sj), afin d'61iminer au mieux toutes les variations des 
25 signaux Si(n) qui ne sont pas significatives d'une anomalie recherchee. 

On va d6crire, k titre d'exemple, les moyens de filtrage realises sous 
forme d'ime matrice de filtrage de Wiener. 

II existe en principe un filtre Fik, r£f6renc6 14, pour chaque couple 
30 (Si,Vk). Chaque ligne de filtre refoit un meme signal Si(n) tandis que, en 
sortie des filtres, les signaux ddlivres sont additionn6s sur chaque colonne 
pour former une voie Vk respective. 

A titre d'exemple particulier de realisation, on peut notamment 
determiner chaque filtre Fik par la relation suivante : 



35 



Fik(a>) = Mik/A(o>) a) 



ou Mik et A sont determines comme on va Tindiquer. 

Si Ton consid&re les signaux Si(n) pendant une ou plusieurs periodes oii 
Ton est presque sur (par exemple, par un examen a posteriori, ou en 
effectuant une simulation), quil n'y a pas eu d'evenement qui puissent 
etre considere comme anormal ou suspect, ces signaux Si(n) representent 
done, de fapon valable, des echantillons significatifs repr6sentatifs de la 
categorie des evenements non suspects, correspondant typiquement k un 
usage normal du systfeme d'information. 

Si Ton designe Cik(t) le coefficient de correlation entre les suites Si(n) et 
Sk(n), t etant le "retard", c'est a dire la difference (ni-nk), les coefficients 
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de correlation Cik(x) peuvent etre mis sous la forme d'une matrice M(x), 
d'ordre r. 

Le determinant a(t) de cette matrice a, dans l'espace des frequences, 
5 une transformee a(o>) qui forme le numerate ur de l'expression (1) ci- 
dessus. 

Si main tenant on supprime dans la matrice M(t) les elements contenus 
dans la ligne i et dans la colonne k, on obtient une nouvelle matrice Mik 
(en principe d f ordre r-1) qui est une fonction de x, et dont la transformee 

10 dans l'espace des frequences est Mik(co), qui constitue le denominateur de 
la relation (1) ci-dessus. 

On notera que Ton peut supprimer dans cette matrice de filtrage les 
filtres dont les gains relatifs sont faibles ou negligeables, ce qui contribue 
a en simplifier la realisation. 

15 Si, par ailleurs, tous les filtres R correspondent a un signal Si sont nuls 
ou negligeables, on peut en deduire que le signal Si n'est pas dismminant 
pour determiner si l'evenement doit etre considere comme normal ou 
suspect et pour le classer. 
D'autre part, un filtre Fik peut entrainer un retard du signal de sortie 

20 Vk par rapport au signal d'entree Si et il pourra arriver que ce retard 
soit important, et meme prohibitif compte tenu de 1'urgence quil peut y 
avoir a prendre une decision dans une situation donnee. Pour pallier cet 
inconvenient, on pourra soit supprimer le filtre Fik, soit limiter son 
retard, c'est a dire choisir un filtre sous-optimal. 

25 Jusqu'a present, on a suppose que les filtres Fik(co) etaient independants 
de n (par exemple, du temps) ; dans ce cas, les calculs des filtres sont faits 
une fois pour toutes. 

n peut cependant arriver que le calcul des filtres, par exemple a partir 
de la relation (1) ci-dessus, donne des resultats variables en fonction de n, 

30 c'est k dire en fonction de 1'historique des evenements anterieurs 
memorises dans le fichier 10 ; dans ce cas, on calculera les filtres 
optimaux non plus une fois pour toutes mais periodiquement, 
eventuellement a chaque fois et en temps reel, c'est a dire pour chaque 
nouveau vecteur de signaux Si(n), le reglage des filtres etant modifie en 

35 consequence a chaque sequence d'analyse. 

L'organe de commande reference 11 sur la figure 2 permet d'assurer ce 
reglage variable et continu (ou discontinu) des filtres, par exemple en 
recalculant r expression (1) et en modifiant en consequence le reglage des 
filtres Fik ou d'ime partie de ceux-ci (en efifet, il se peut que seuls certains 

40 des filtres Fik soient affect6s par Iliistorique des ev6nements). 
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Moyens de classement 

On a represents plus en detail sur la figure 4 les moyens de classement 
5 8, qui repoivent en entree les signaux Vk(n) delivrSs par les moyens de 
filtrage 7 de la manifcre que Ton vient d'exposer et qui deiivrent en sortie, 
aux moyens de mise en forme 9, des signaux Pu(n) dont Tamplitude est 
representative de la probability attachee k chacune des sous-classes 
particuliferes d'6v6nements parmi les evenements averts anormaux. 
10 Ces difKrentes sous-classes correspondent, comme on l'a expliqu£ plus 
haut, k differents "scenarios" que Ton sait isoler, par exemple par 
analyse statistique, ou simuler. 

A chaque scenario Au on fera correspondre un ensemble de derisions Du 
permettant de tirer au mieux parti de la situation, ou d'en limiter au 
15 maximum les risques. 

Le nombre de colonnes u est quelconque (il depend en fait du type de 
transaction a analyser, de la finesse d'analyse souhait6e et de la variete 
des signaux discriminants disponibles) ; il existe au moins une colonne u. 
Les moyens de classement 8 sont constitu£s d'une matrice de filtres 
20 adapts FAku, references 15, alimentes de la meme mani&re que dans le 
cas des moyens de filtrage d£crits ci-dessus, c'est k dire que tous les filtres 
FAku d'une meme ligne ref oivent le meme signal Vk(n), et que les sorties 
de tous les filtres FAku d'une meme colonne sont somm6es pour fournir le 
signal Pu respectif aprfes detection par un circuit 16 deiivrant une valeur 
25 arithmetique k partir de la valeur algebrique du signal somme en sortie 
des filtres, le circuit 16 etant par exemple un circuit de detection 
quadratique. 

On notera que les circuits 16 sont optionnels, et peuvent etre limites k 
une simple mise en forme des signaux (sans detection quadratique). 

30 Une detection quadratique pourra etre pr6vue dans Tun des blocs tels 
que 3, 18 ou 19 decrits plus bas* 

Le calcul et le reglage des filtres FAku s'obtient en simulant ou en 
reproduisant (par exemple a partir de l'historique conserve dans le fichier 
10) chacun des scenarios u. 

35 On obtient ainsi en sortie des moyens de filtrage 7 un signal respectif 
Vku(n), consequence des scenarios d*evenements u dans la voie Vk ; de 
preference, on repete plusieurs fois ce meme scenario u, et Ton conserve 
pour Vku le signal moyen des differents signaux obtenus k chaque 
repetition. 

40 A chaque signal Vku(n) on associe un filtre adapte FAku, determine par 
la relation generale 

FA(co) = K.e-*^V*(a)) (2) 



45 



K 6tant une constante, to etant egalement une cons tan te (retard), V(w) 
etant la transformee de Fourier de V(n) et V*(g>) etant la conjuguee de 
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V(<o). 

Comme dans le cas des moyens de filtrage, il est possible, pour les 
^ moyens de classement : 

— de supprimer les filtres FA dont les gains relatife sont n6gligeables, 

— si tous les filtres dune meme ligne sont nuls ou negligeables, on 
pent en d6duire que le signal Vk(n) n'est pas significatif pour 
discriminer les differents scenarios Au ; on peut alors supprimer les 

10 filtres correspondants. 

— si tous les filtres dune colonne sont nuls ou n6gligeables, on peut en 
deduire que les signaux Si ne sont pas dismminants pour la sous- 
classe d'6v6nements xu 

— si un filtre FAku entraine un retard important ou prohibitif du 
signal de sortie Pu par rapport au signal d'entx6e Vk et que Ton 
souhaite pouvoir prendre rapidement une decision dans une 
situation donnee, on pourra soit supprimer ce filtre soit, de 
preference, limiter son retard, c'est k dire choisir un filtre sous- 
optimal: 

— les filtres FAku peuvent etre des filtres variables dans le temps, leur 
r£glage etant adaptes en permanence par les moyens de commande 
20 pour que leurs caracteristiques correspondent toujours k 
l'optimum calcule. 



15 
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On a jusqu'a present suppose que les differents scenarios Au etaient 
connus k Tavance, et quil existait done autant de signaux Pu que de sous- 
classes Au differentes, c'est a dire de scenarios differents. 

On peut verifier a posteriori que la partition en sous-classes Au est 
significative, en v6rifiant que les deux colonnes de filtres adaptds FAku 
correspondant k deux scenarios differents sont significativement 
differentes ; dans le cas contraire, il est possible de supprimer Tune des 
deux colonnes de filtres, puisque ces deux colonnes sont plus ou moins 
redondantes. 

Si Ton ne connait pas a Tavance les differents scenarios Au, ou si Ton 
connait mal ceux-ci, on peut utiliser de fapon empirique (tout au moins en 
l'absence d'un fichier historique des evenements suffisamment riche 
pour determiner avec precision la partition entre les differents scenarios), 
au moins deux batteries de filtres, dont Time est a large bande, c'est k dire 
k reaction rapide, et l'autre a bande etroite, c'est k dire k reaction lente. 

Moyens de raise en forme 

On va main tenant decrire plus en detail les moyens de raise en forme 9, 
en reference a la figure 5. 

Dans certains cas, la simple presentation des informations Pu peut 
suffire k la prise de decision, de sorte que les moyens de mise en forme 9 
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sont simplement reduits a tux affichage de ces diffSrents signaux Pu. 

Ngamnoins, dans la plupart des cas ces signaux ne sont pas 
directement utilisables, en particulier lorsque les decisions a prendre 
dans une situation donnge ne dependent pas directement des grandeurs 
Pu, mais de combinaisons Iogiques, alggbriques ou heuristiques des 
grandeurs Pu et de Ieurs variations en fonction de n (typiquement, en 
fonction du temps). 

A chaque cat^gorie u d'^vSnements et done k chaque signal Pu on 
pourra souvent affecter des coefficients pond6rateurs. 

Par exemple, pour un systeme de cartes accreditees on posera : 



Classel (signal Pi) : cartes voltes, 

Classe 2 (signal P2) : cartes falsifies, 

Classe 3 (signal P3) : utilisations abusives (dSfaut de provision), 
etc. 



On sait par experience combien une carte vol6e coute, en moyenne, k 
l'6metteur, au porteur, etc. De meme pour les cartes falsifiees, etc. 

2q L'organe de calcul 18, en faisant une addition ponderge des signaux Pi, 
P2, Ps, ... donnera directement les risques financiers (esperance 
math6matique du dommage potentiel) pour chaque transaction analysge 
et pour chaque partenaire. 
Les 6v6nements pourront etre classes par risque dScroissant selon 

25 plusieurs entires (par exemple par Smetteur, par porteur, etc.). On 
retiendra les transactions correspondant aux risques les plus elev6s. 

Le nombre d'£lements a retenir pourra etre fix6 de plusieurs mani&res ; 
un crit&re pourra etre de maintenir le taux de fausse-alarme (ou le taux 
de non-d6tection) au-dessous d ! une valeur maximale, ou bien de fixer une 

3Q rfcgle combinant les deux taux. Dans d'autres cas, on pourra chercher a 
plafonner le nombre de cas s61ectionn£s en vue d'analyses plus 
approfondies, et s r il y a lieu pour traitements manuels complimentaires 
(enquete t6l6phonique par exemple). 

35 Les differents calculs sont effectufe par un organe de calcul 18 d61ivrant 
en sortie des signaux directement utilisables par les moyens de decision 3. 

Par ailleurs, il peut etre tres souvent utile de transformer les signaux 
continus Pu en signaux binaires Pu, e'est k dire d obtenir une information 
non plus en termes de probability, mais une information "tout ou rien" 
4Q sur I'existence ou non d'un scenario Au. 

Dans ce dernier cas, la transformation est effectuSe par des 
comparateurs 19 recevant chacun en entree un signal Pu et le comparant 
a un seuil Lu respectif de manifere k fournir le r^sultat binaire Pu (on 
notera que l'organe 19 est optionnel). 
45 Les seuils Lu peuvent etre fixes et r6gl6s une fois pour toutes. 

Cependant, lorsque, a partir des informations du fichier historique 10, 
on s'aperpoit de variations notables en fonction de n (typiquement, en 
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fonction du temps), on peut §tre amen€ k faire varier les seuils Lu en 
fonction des informations de ce fichier ; ce rgglage continu des senils est 
realist par un circuit 21 (figure 2), similaire son fonctionnement aux 
circuits de commande 11 et 20 agissant respectivement sur les moyens de 
filtrage 7 et les moyens de classement 8. 

Comme pour ces derniers, le circuit 21 rend le dispositif d'analyse de 
l'invention auto-adaptatif en fonction de revolution dans le temps des 
donn£es. 

Cet ajustement permanent des seuils Lu peut aussi permettre de rSgler 
les moyens de raise en forme de manifere a Tnainternr k une valeur de 
reference des critferes fixes k l'avance, par exemple de manifere k 
maintenir constant le taux moyen dev&iements anormaux, ou le taux 
moyen de decisions negatives prises par les moyens de decision 3. 

Variantes de mise en oeuvre 



La configuration d6crite ci-dessus peut etre perfectionn6e de diverses 
manieres en fonction de la nature et de la complexity des transactions k 
analyser. 

On peut par exemple utiliser plusieurs dispositifs d'analyse 4, 4',... 
(figure 1) en parallele, correspondant chacun k des critferes d'anormalite 
significativement diff&rents, ou bien pour des raisons de separation des 
fonctions, facility de realisation, fiabilitS, etc., bien que, thfeoriquement, un 
^ ? systfeme utilisant plusieurs dispositifs d'analyse en parallfele soit 
Equivalent a un systfeme d'analyse unique avec des matrices de filtrage de 
plus grande dimension* 

Par ailleurs, dans le cas de plusieurs dispositifs en parallfele, certains 
organes peuvent etre communs, c'est a dire que Ton ne met en parallfele 
que (par exemple) les moyens de filtrage , les moyens suppresseurs et de 
classement etant communs, etc. 

On peut fegalement mettre en cascade plusieurs dispositifs d'analyse 
selon Pinvention, dans les cas complexes ou les decisions doivent etre 
prises avec des signaux Pu ou Pu fortement corr616s entre eux : il sera 
alors utile d'utiliser un dispositif d'analyse secondaire utilisant comme 
signaux d'entrge les signaux de sortie Pu du dispositif d'analyse 
principal ; le reglage du dispositif d'analyse secondaire s'effectue de la 
meme manifere que celui du dispositif d'analyse principal. 

En ce qui concerne les techniques de filtrage et de classement utilises, 
on peut utiliser, comme on l'a decrit plus haut, des filtres numeriques Fik 
et FAku, a caracteristiques fixes ou variables. 

On peut igalement utiliser, en lieu et place de ces filtres numeriques, 
des correlateurs ou des convoluteurs, selon des techniques connues. 

Par ailleurs, les filtres successifs 12, 14, 13, 15, 19, 18, etc. que Ton a 
d6crit sont pour l'essentiel des felfements additifs et linfeaires, de sorte que 
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Ton pourra adopter toutes dispositions equivalentes, par exemple en 
regroupant des filtres places en s6rie et en les remplayant par un filtre 
unique. 

5 Lorsque les informations traitees s'etalent sur des jours, voire des mois 

ou plus, il est avantageux d'utiliser des filtres a caracteristiques 
exponentielles de fa? on k limiter le nombre d 'informations k garder en 
memoire. 

Certains filtres peuvent etre r6duits a un simple coefficient ponderateur 
10 (ou a un nombre limits de coefficients). 

En outre, il est souvent avantageux de multiplier le nombre de filtres en 
vue de simplifier leur mode de realisation. Dans ce but, on utilisera des 
signaux d'entr£e binaires. 
Par exemple, une seule information telle que le montant m pourra etre 
15 remplac6e par Tinformation "appartenance k un classe de montants" : 

ai =1 si 0 £ m < 600 francs (ai = 0 sinon) 
a2 = l si 600 <m< 1200 francs (a2 = 0 sinon) 
a3 = l si 1200 <m (a3 = 0 sinon) 

20 

Dans les systemes de filtres 7, une seule ligne de filtres fl(m) est 
remplac6e par trois lignes de filtres (ai, a2, as) mais, les signaux ai, a2, as 
etant binaires, les coefficients de correlation et produits de convolution 
sont beaucoup plus simples. 
25 La realisation des filtres et la numgrisation des signaux intermediaires 
en seront grandexnent facilities. 



Application d la propagation d'alarme 
30 De fapon generate, l'ensemble d'analyse selon 1'invention peut etre : 

— soit complet et autonome, 

— soit integri dans un systeme expert dont il constitue un element 
principal de decision, 

35 — soit distribue sur plusieurs niveaux. 



Concernant ce dernier point, il y a lieu de remarquer que le syst&ne de 
1'invention est particuliferement avantageux dans un systeme distribue et 
hierarchise de machines tel qu'un r6seau informatique ou un reseau 
40 d'equipements tels que distributeurs de billets, tenninaux point de vente, 
dispositifs utilisant des cartes k circuit integre, etc. 

Par exemple, dans le cas des tenninaux point de vente, les equipements 
installs chez les commerfants dependent d'un centre local 
d'autorisation, lui-meme relie a un centre national, qui k son tour est 
45 relie k un centre international. 

A chaque niveau hierarchique sont prevues des limites d'autorisation 
predefinies, avec une delegation au niveau superieur en cas de 
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dEpassement de cette limite. Par exemple, au niveau du terminal point de 
vente, I'autorisation peut etre dElivrEe sans en rEfErer au centre local si le 
montant de la transaction ne dEpasse pas un plafond donne, et pour une 
5 transaction unique par jour chez un meme commerjant ; si ces 
conditions ne sont pas remplies, le commerpant devra en rEfErer au 
centre local, qui pourra accorder Tautorisation lui-meme, ou bien devra 
en rEfErer au centre national, en fonction d'autres rfegles de decision, etc. 
On conpoit que les rEgles aiyourd'hui utilisees sont assez frustres, en 

10 particulier au niveau hierarchique le plus bas. 

La prEsente invention pennet prEcisEment d'amEliorer cet Etat de fait en 
prenant une decision beaucoup plus "subtile" en prEvoyant une analy se 
in situ de la transaction, par exemple par un dispositif ou logiciel simple 
supplEmentaire intEgrE au terminal point de vente. 

15 Ceci permet d'une part de diminuer le nombre de recours au centre 
local, toujours lourds k gErer (Etablissement d'une communication 
tElEphonique, tElEtransmission d'un certain nombre d'informations, 
attente, etc.), tout en diminuant le risque ^utilisations frauduleuses. 
En outre, et de fafon particulierement avantageuse, le systfeme de la 

20 prEsente invention permet, lorsquune transaction suspecte est averee (et 
a fortiori s'il s'agit effectivement d'une tentative frauduleuse), de 
propager Talarme k 1'intErieur du systeme distribuE, seion une fonction 
du temps (dependant de l'Eloignement des Equipements voisins) et de 
fapon progressive (Talarme Etant d'abord propagee aux Equipements les 

25 plus proches) et Evolutive (la detection, sur plusieurs Equipements, de 
transactions suspectes rapprochees dans le temps et ^ns 1'espace permet 
d r augmenter le niveau de Talarme). 

En d'autres termes, si le systeme d'analyse de Tinvention incorporE k 
un Equipement donnE du systtme distribuE dEtecte une transaction 

30 suspecte a un instant to, la probability correspondante de fraude selon un 
scenario Au determinE va passer, pour cet equipement, k un niveau donne 
(par exemple, 70 %) a cet instant to, comme illustre en A sur la figure 6. 

On va utiliser ce systeme pour mettre en alerte les Equipements 
geographiquement voisins en transmettant k ceux-ci un signal d'alerte — 

35 qui constituera Tun des signaux d'entrEe de leur dispositif d'analyse 
propre — , cette transmission pouvant etre effectuEe soit via le niveau 
hierarchique superieur (transmission de 1'information au centre local qui 
la rEpercute ensuite progressivement vers les Equipements voisins, en 
cpmmenpant par les plus proches, cette solution Etant gEnEralement 

40 prEfErable dans le cas d'un rEseau d'Equipements tr&s dense autour de 
1'Equipement ou a EtE dEtectee la transaction suspecte), soit directement de 
point a point, ce qui Evite de surcharger le systeme infonnatique du centre 
local. 

La probabilitE de fraude pour un Equipement ("terminal 1") situE par 
45 exemple a une distance correspondant a un temps de parcours minimal 
de 10 minutes par rapport k 1'Equipement ("terminal 2") ou a EtE dEtectEe 
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la transaction suspecte est indiqu6e figure 7. 

Avec une cons tan te de temps x = 10 minutes par rapport au signal A, 
c'est k dire k partir de 1'instant to+10, la probability (courbe B) va 
augmenter progressivement jusqu'a un maximum, puis diminuer 
5 lentement, le risque de fraude s'estompant peu k peu avec le temps. 

Les filtres de ce terminal seront par exemple choisis de sorte que la 
probability maximale soit inferieure k la probability dytermin6e pour le 
terminal 1, par exemple moiti£ moindre, ce qui donne une probability 
maximale de 35 %. 

10 Si, en revanche, une seconde transaction suspecte A 1 (figure 6) est 
detectye (au terminal 1 ouaun autre equipement voisin) k un instant t'o 
peu de temps aprfes la premiere transaction suspecte A, on obtiendra au 
terminal 2 une seconde ryponse B' correspondante, identique k la reponse 
B, mais d£caiye dans le temps. La composition des deux ryponses B et B' 
donne la ryponse B+B' qui, com me on peut le constater, passe par un 
maximum correspondant a une probability de fraude trfes supyrieure k 
celle correspondant a une seule transaction suspecte dytectye (ryponse B 
ou ryponse B'). 

Une telle application de la prysente invention k la propagation d'alanne 
2o permet d'accroitre considyrablement la prevention des fraudes et permet 
en outre un suivi gyographique en temps ryel des transactions suspectes, 
ce qui rend le systeme particuli&rement dissuasif. 

Ce systeme de propagation d'alanne est en outre relativement ais£ et 
peu couteux k mettre en oeuvre, dans la me sure ou il ne reqtuert aucune 
25 infrastructure suppl&nentaire par rapport k ce qui existe actuellement. 

Exemple de mise en oeuvre de Virwention appliquie a un systeme de 
diliurance d'autorisations pour cartes accriditiues 

30 Dans cette application, les signaux significatifs Si pourront etre les 

suivants : 

— nature du service demandy (distribution d'argent, paiement, 
transfert de fonds, eta), 

35 — moyen utilisy a cet efifet (distributeur de billets, automate en libre- 

service, appareil fonctionnant en prysence ou non d'un 
commergant, etc.), 

— lieu d r origine de la demande d'autorisation (magasin, automate 
bancaire sur la voie publique, terminal a domicile, etc.), 

40 — montant demandy (ou, de pryf6rence, son ordre de grandeur, dyfini 

par le logarithme du montant, ce qui permet de reduire le nombre 
de bits d informations sans compromis sur le rysultat final), 

— moyen d'autentification du support et des informations (par le 
commergant, par un moyen automatise, par une lecture de piste 

45 magnetique, etc.), 

— moyen d'identification du porteur (signature, code confidentiel, 
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caract&istique biomgtrique, etc.), 

— delai de rgponse demandg pour Tobtention de I'autorisation, 

— lieu ggographique du demandeur ou toute information gquivalente, 

— nature du commerce, 

— date (jour de la semaine, quanti&me, etc) et heure de la demande 9 

— lieu habituel d'achats et lieu du dernier achat, ce qui permet de 
mesurer la "distance" entre ces donnges et le lieu d'ou provient la 
demande d'autorisation, 

— transactions deja effectuges dans le passg pour un porteur donng. 



Ces grandeurs prgcgdentes ne sont pas algatoires ni independantes. 
Si Ton utilise pour le filtrage un systgme mettant en oeuvre la 
relation (1) indiquge plus haut, le rgsultat sera, par exemple pour un filtre 
Fik correspondant k la frequence des demandes, un filtre ayant une 
^ caracteristique de filtre intggrateur avec une largeur de bande de 1'ordre 
de hint jours. 

L' ensemble des filtres Fik etant ainsi dgfini et ceux-ci rggles seion leurs 
caract6ristiques optimales, on peut proceder au reglage des filtres adaptes 
FAku. 

^ On considferera k cet effet des scenarios correspondant a divers risques ; 

par exemple : 

— dans le cas de l'utilisation abusive d'une carte volge : le nombre 
d'utilisations et leurs montants, ainsi que la pgriode pendant 

^ laquelle 1'utilisation a lieu, etc. sont des donnges connues qui 

peuvent etre utilisges pour rggler une colonne de filtres adaptgs 
FAku. 

Le rgglage du seuil du circuit 16 correspondant k cette colonne sera 
effectug par exemple de telle fapon que le nombre de dgpassements 
30 de seuil en 1'absence d utilisation abusive reste a un niveau 

acceptable (par exemple, inferieur k 1 %o des demandes 
d'autorisation) ; 

— une deuxifeme ligne de filtres adaptes FAku pourra etre obtenue en 
considgrant les tentatives de recherche du code confidentiel associg 

^ k une carte donnee, ou bien l'apparition de supports physiquement 

diffgrents portant des informations identiques (cas des cartes 
firauduleusement dupliquges), etc. 



De fapon ggngrale, pour simplifier et accglgrer les calculs : 

— on ne conservera pour chaque information qu f un TninimTiTn de bits 
d'infonnation (quelques bits, eventuellement un seul bit), 

— on utilisera la technique d'addition des rgponses percussionnelles 
des filtres, c'est a dire qu'on mettra k jour la rgponse des filtres sans 
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recalculer complement cette reponse k chaque fois, mais 
simplement en cumulant les reponses percussionnelles 
correspondant k chaque transaction informatique nouvelle, 
— on ne conservera en memoire que les caract&istiques permettant de 
5 mettre k jour la reponse des filtres (date de la derni&re mise k jour, 

param&tre decrivant la reponse en gain et en phase), et k chaque 
nouvelle demande d'autorisation, ces paramfctres seront mis k jour. 



10 



Enfin, les rgglages des filtres pourront Stre diffSrents selon les 
p£riodes : heures ouvrables ou non, jour de la semaine, week-end 
prolong^, periodes de vacances ou de fin d'ann6es, etc). 
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REVENDICAJTONS 



1. Un dispositif (4) d'analyse (Tune transaction informatique ou partie 
de transaction, dans lequel le dispositif repoit en entree des signaux 

5 comprenant les informations d61ivr£es par tin utilisateur de ma n dant 
r execution de la transaction ainsi que des informations de contexte 
representatives des conditions de d6roulement de la transaction, et deiivre 
en sortie des signaux de commande k des moyens de decision (3) 
determinant s'il y a lieu ou non de deiivrer une autorisation k lutilisateur 
10 lui permettant de poursuivre la transaction ou de modifier le d6roulement 
de cette transaction ou de transactions ulterieures, 
caracteris6 par : 

— des moyens extracteurs (5), pour ne conserver, parmi les 
15 informations re?ues en entree, que celles utiles k l'analyse de la 

transaction, 

— des moyens suppresseurs (6), pour eliminer les signaux 
correspondant k une transaction consider^e comme conforme a un 
ensemble de regies predetermines, de maniere k ne pas poursuivre 

20 l'analyse pour les transactions de ce type, 

— des moyens de filtrage (7), pour eliminer, en fonction des 
caracteristiques statistiques des signaux deiivres par les moyens 
suppresseurs, les variations non significatives de la transaction k 
analyser, 

55 — des moyens de classement (8), pour rfipartir les signaux de la 

transaction a analyser en sortie des moyens de filtrage (7) dans une 
ou plusieurs classes d'au moins un ensemble de classes, chaque 
ensemble correspondant a un critere predetermine de classification, 
ces moyens de classement deli vr ant en sortie les signaux de 

30 commande des moyens de decision. 

2. Le dispositif de la revendication 1, comprenant des moyens 
d'archivage (10) assurant la memorisation des signaux correspondant a 
des transactions anterieures. 



35 



40 



45 



3. Le dispositif de la revendication 2, dans lequel les moyens de filtrage 
(7) sont des moyens a effet variable, commandes par des moyens de calcul 
et de reglage (11) fonctioimant en reponse au contenu des moyens 
d'archivage (10). 

4. Le dispositif de Tune des revendications 2 ou 3, dans lequel les 
moyens de classement (8) sont des moyens k effet variable, commandes 
par des moyens de calcul et de reglage (20) fonctionnant en reponse au 
contenu des moyens d'archivage (10). 
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5. Le dispositif de l'une des revindications prEcEdentes, dans lequel les 
informations transmises aux moyens extracteurs comprennent des 
signaux representatifs de Tecart entre les conditions effectives de 
dEroulement de la transaction et les conditions considErEes comme 

5 normales du dEroulement de cette transaction. 

6. Le dispositif de la revendication 5, dans lequel le signal reprEsentatif 
dudit ecart est un signal de distance quantifiant 1'Ecart plus ou znoins 
grand entre les conditions effectives de dEroulement de la transaction et 

IQ les conditions considErEes comme normales du deroulement de cette 
transaction. 

7. Le dispositif de Tune des revendications 1 & 6, comprenant une 
plurality de moyens de classement (8) disposes en parall&le, recevant en 

15 entree les memes signaux et dElivrant chacun en sortie des signaux 
spEcifiques h des moyens combinatoires (9) formant interface avec les 
moyens de decision. 

8. Le dispositif de Tune des revendications 1 k 7, installE au moins 
20 partiellement dans un Equipement d'un systEme distribuE, caracterise en 

ce qu'un equipement du systeme re$oit des signaux en provenance des 
dispositifs d'analyse d'Equipements voisins, ces signaux, qui comportent 
au moins un signal d'alarme, constituant des signaux d'entrEe du 
dispositif d'analyse de cet Equipement. 

25 

9. Le dispositif de la revendication 8, dans lequel le signal transmis k 
chaque Equipement voisin est transmis avec application d'une fonction du 
temps comportant un retard, cette fonction dependant de I'Eloignement de 
cet Equipement par rapport k Tequipement ayant Emis le signal 

30 correspondant. 
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